Protección de datos personales

Nuevos principios de protección de datos

Se tendrá que implementar en la organización todos los mecanismos que permitan acreditar que se han adoptado todas las medidas necesarias para tratar los datos personales como exige la norma. Además esta responsabilidad será "proactiva" y todas las organizaciones tendrán que ser capaces de demostrar que cumplen con dichas exigencias, lo que claramente obligará a desarrollar políticas, procedimientos y controles necesarios para su cumplimiento.

· Principio de protección de datos por defecto y desde el diseño.
Como regla, desde el mismo momento en que se diseñe una empresa, un producto, un servicio o una actividad que implique tratamiento de datos, se deberán adoptar las medidas que garanticen el cumplimiento de la norma. 

· Principio de transparencia.
Tanto las políticas de privacidad como los avisos legales, deberán ser más inteligibles, simples y completos, facilitando su compresión con el fin de informar sobre el tratamiento de los datos. Se prevé en un futuro inmediato, que incluso para facilitar la información del tratamiento de datos se puedan utilizar iconos normalizados.

Consultoría en protección de datos. RGPD. Nueva ley LOPD

Obligación

Antes de la entrada en Vigor del Nuevo Reglamento de Protección de Datos Europeo, era la ley Orgánica 15/ 1999 de 13 de diciembre la que obligaba a todas las personas, empresas y organismos (públicos o privados) que manejaran datos de carácter personal, a cumplir con una serie de requisitos y a aplicar determinadas medidas de seguridad en función del tipo de datos que poseyeran. Actualmente es la Ley Orgánica 3/2018 de 5 de diciembre la que sustituye a la antigua Ley Orgánica y regula y transpone las obligaciones del Reglamento Europeo de Protección de Datos.

Adecuación

Es el Reglamento Europeo de Protección de Datos, que entro en vigor en 2016 y que es de obligado cumplimiento desde el día 25 de mayo de 2018 el que determina todos los requisitos de cumplimiento y adecuación a la ley de protección de datos. Desde ESOC by Legitec, nos ponemos a tu servicio para ayudarte a cumplir y así poder evitar las altas sanciones por incumplimiento en materia de protección de datos.

La consultoría en protección de datos persigue conocer la situación actual de tu empresa y determinar el alcance del proyecto que sería necesario para cumplir en materia de protección de datos. Seguidamente el objetivo sería realizar un diagnóstico inicial analizando los sistemas que utiliza tu empresa para almacenar y tratar los datos, evaluando el riesgo existente en el tratamiento de los mismos y definiendo la política de seguridad para fijar las responsabilidades y por último, y después de elaborar y redactar los contratos y todos los documentos necesarios para acreditar (Accountability) que se han adoptado todas las medidas necesarias para tratar los datos personales como exige el Nuevo Reglamento Europeo de Protección de datos.

Por qué ESOC Consultoría by Legitec

Contarás con toda la experiencia del Grupo ESOC, con una trayectoria profesional en servicios a empresas de más de 35 años y todo ello siempre bajo el paraguas de la marca líder del mercado en protección de datos Legitec.

Resumen del servicio de adecuación al Nuevo Reglamento de Protección de datos

Adecuación al Nuevo Reglamento de Protección de datos  

    -Análisis de riesgo inicial

    -Registro de actividades de tratamiento de datos

    -Determinación de controles y manual de seguridad

    -Estudio de bases de legitimación y Clausulado legal

    -Contratos de encargo de tratamiento de datos

    -Soporte jurídico permanente durante el 1º año

    -Revisión y comprobación

    -Sello de excelencia "Legitec"  

Mantenimiento integral anual

    -Actualización de registro de actividades de tratamiento

    -Soporte jurídico permanente

    -Repositorio documental

    -Renovación certificado de adecuación

Solicitar presupuesto

Auditoría en protección de datos

Obligación

Antes de la entrada en vigor del Nuevo Reglamento Europeo de Protección de Datos (RGDP) era el artículo 96 del Real Decreto 1720/2007 el que determinaba que “A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título”.  

Auditoría

Ahora con el Nuevo Reglamento, lo importante es poder demostrar y acreditar que has tomas todas las medidas necesarias para cumplir legalmente con las nuevas exigencias de la ley, de manera clara y continua. Es decir, se tendrán que repasar y actualizar si se necesitara, todos los procedimientos en caso de cambio de las condiciones iniciales de adecuación al Nuevo Reglamento. Si lo necesitas, ESOC by Legitec determinará la adecuación de las medidas y controles a la ley y a su desarrollo reglamentario, identificando las deficiencias y proponiendo todas las medidas correctoras o complementarias que sean necesarias para el cumplimiento en materia de protección de datos. Además, en esa auditoría en protección de datos se incluirán todos los hechos, datos y observaciones que fundamenten las recomendaciones propuestas.

Por qué ESOC Consultoría by Legitec

Contarás con toda la experiencia del Grupo ESOC, con una trayectoria profesional en servicios a empresas de más de 35 años y todo ello siempre bajo el paraguas de la marca líder en protección de datos Legitec.

Solicitar presupuesto

Aspectos legales de internet

Por qué LSSI

Las nuevas tecnologías lo han cambiado todo, casi todo el mundo ya ofrece sus servicios a través de internet de manera fácil y directa y a precios muy ajustados, utilizando para ello las herramientas más habituales, como son el comercio electrónico, las redes sociales, los blogs, etc., pero esta utilización no está exenta de riesgo y por eso, desde Grupo ESOC nos ponemos a tu disposición para ayudar a darte la tranquilidad que necesita tu negocio o empresa.

Servicios en los que podemos ayudarte: 

• Adecuación de tu sitio web y consultoría en LSSI-CE (Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico).

• Adecuación uso del comercio electrónico a través de un asesoramiento legal y constante sobre el uso correcto de los canales electrónicos, con informes de tu situación normativa en función de tu actividad, redactando los avisos legales y las condiciones generales de tu página, tales como la publicidad, el marketing, la protección de datos de carácter personal, las condiciones generales de contratar, la ley de ordenación del comercio minorista, etc.

• Ayuda a cumplimento legal en el uso de las Redes Sociales, elaborando para ello por ejemplo informes de viabilidad jurídica en tus promociones en redes sociales, cuando legalmente la realización de sorteos, rifas, concursos, etc., así como formando y asesorando en materia de protección de menores. 

• Adecuación legal de tus blogs y foros, dando viabilidad jurídica a los mismos, elaborando las condiciones legales para los usuarios, ayudando en la realización de rifas, sorteos o concursos.

Es la ley 34/20025 de 11 de julio la que regula los aspectos jurídicos de los Servicios de la Sociedad de Información como el comercio electrónico, la contratación en línea, la información y publicidad y los servicios de intermediación.

La clave para saber si estas afectado por la ley, es que tu servicio o página web constituya una actividad económica. Es decir que los servicios que ofrezcan sean a cambio de un precio o una contraprestación.  

Cookies

Con el nombre de Ley de Cookies es como se conoce al punto tercero del art. 4 del Real Decreto-ley 13/2012 de 30 de marzo que fue publicado en el Boletín Oficial del Estado el sábado 31 de marzo de 2012 y entró en vigor al día siguiente.

Esta ley de cookies (o Ley cookie) obliga a los titulares de las páginas web profesionales a impedir que se instalen cookies en los ordenadores de sus usuarios, a menos que estos hayan dado antes su consentimiento informando para ello.

Afecta a las todas las empresas y profesionales con páginas web que estén establecidos en España o estando establecidos fuera dirijan sus servicios al territorio español.

 Por qué ESOC Consultoría by Legitec

Contarás con toda la experiencia del Grupo ESOC, con una trayectoria profesional en servicios a empresas de más de 35 años y todo ello siempre bajo el paraguas de la marca líder en protección de datos Legitec.

Solicitar presupuesto

Delegado de protección de datos (DPD/DPO)

Qué es

El nuevo Reglamento Europeo de Protección de Datos obliga a ciertas organizaciones a disponer de una figura llamada Delegado de Protección de datos (DPD) o Data Protección Officer (DPO) que tendrá por misión informar y asesorar a la organización y a los empleados así como a las personas designadas como encargadas del tratamiento de datos personales. Además supervisará el cumplimiento de lo dispuesto en el Reglamento Europeo de Protección de Datos asesorando sobre la "evaluación de impacto" en materia de protección de datos a los que se enfrenta la organización y finalmente cooperará, si fuera necesario, con las autoridades de control.

La figura del DPD/DPO ha de estar acompañada de total autonomía para el ejercicio de sus funciones y estar relacionado con el nivel superior de la dirección de la empresa, siendo la propia dirección de la empresa la que le provea de todos los recursos necesarios para la realización de su actividad.

Será nombrado atendiendo a sus cualidades profesionales, en particular considerando sus conocimientos de la legislación y la práctica de la protección de datos personal y tanto su designación como sus datos de contacto deberán tener carácter público y comunicarse a la autoridad supervisora competente. Por ultimo podrá ser personal interno de la empresa o externo a la misma.

Quién está obligado

La Ley Orgánica 3/2018 de 5 de diciembre de 2018 publicada en el Boletín Oficial del Estado en su número 294 del día jueves 6 de diciembre determina, junto a los  supuestos  previstos  en  el  artículo  37.1  del  Reglamento  (UE)  2016/679, las entidades en las cuales los responsables y encargados de tratamiento de datos deberán nombrar un Delegado de Protección de Datos ( DPO/DPD) y son:

a) Los colegios profesionales y sus consejos generales.
b) Los  centros  docentes  que  ofrezcan  enseñanzas  en  cualquiera  de  los  niveles  establecidos  en  la  legislación  reguladora  del  derecho  a  la  educación,  así  como  las Universidades públicas y privadas.
c)  Las  entidades  que  exploten  redes  y  presten  servicios  de  comunicaciones  electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las  entidades  incluidas  en  el  artículo  1  de  la  Ley  10/2014,  de  26  de  junio,  de  ordenación, supervisión y solvencia de entidades de crédito.
f)  Los establecimientos financieros de crédito.
g) Las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial  y  crédito  o  de  los  ficheros  comunes  para  la  gestión  y  prevención  del  fraude,  incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo  las  de  investigación  comercial  y  de  mercados,  cuando  lleven  a  cabo  tratamientos  basados  en  las  preferencias  de  los  afectados  o  realicen  actividades  que  impliquen la elaboración de perfiles de los mismos.
l) Los  centros  sanitarios  legalmente  obligados  al  mantenimiento  de  las  historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento  de  las  historias  clínicas  de  los  pacientes,  ejerzan  su  actividad  a  título  individual.
m)    Las  entidades  que  tengan  como  uno  de  sus  objetos  la  emisión  de  informes comerciales que puedan referirse a personas físicas.
n)  Los  operadores  que  desarrollen  la  actividad  de  juego  a  través  de  canales  electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
ñ) Las empresas de seguridad privada.
o) Las federaciones deportivas cuando traten datos de menores de edad

Además los responsables y encargados del tratamiento comunicarán en el plazo de diez días  a  la  Agencia  Española  de  Protección  de  Datos  o,  en  su  caso,  a  las  autoridades  autonómicas  de  protección  de  datos,  las  designaciones,  nombramientos  y  ceses  de  los  delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.

La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos mantendrán, en el ámbito de sus respectivas competencias, una lista actualizada  de  delegados  de  protección  de  datos  que  será  accesible  por  medios electrónicos.

En  el  cumplimiento  de  las  obligaciones  de  este  artículo  los  responsables  y  encargados del tratamiento podrán establecer la dedicación completa o a tiempo parcial del delegado, entre otros criterios, en función del volumen de los tratamientos, la categoría especial  de  los  datos  tratados  o  de  los  riesgos  para  los  derechos  o  libertades  de  los interesados.

 Por qué ESOC by Legitec

Contarás con toda la experiencia del Grupo ESOC, con una trayectoria profesional en servicios a empresas de más de 35 años y todo ello siempre bajo el paraguas de la marca líder del mercado en protección de datos Legitec.

Contactar con nosotros

¿Es obligatorio cumplir la Ley de protección de datos?

De acuerdo con lo dispuesto en la anterior LOPD y en el Nuevo Reglamento de Protección de Datos Personales (RGPD) es obligatorio para las personas físicas o jurídicas, de naturaleza pública o privada, u órgano administrativo, acreditar (Accountability) que se han adoptado todas las medidas necesarias para tratar los datos personales como tal y como exige la nueva norma.

¿Qué fin persigue la ley de protección de datos?

Ayudar a poder proteger y garantizar, en el tratamiento de los datos personales, las libertades públicas y fundamentales, así como el honor y su intimidad de todas las personas físicas de la Comunidad Europea.

¿Qué es un dato personal?

Un dato personal es cualquier tipo de información de una persona física que pueda identificarla. Por lo tanto, para que se pueda dar esta identificación han de concurrir dos elementos, primero tiene que haber una información o dato concreto y segundo, esa información o dato concreto tiene que poder vincularse o asociarse, ya sea de manera directa o indirecta, a una persona física en concreto. Dicho esto, no todos los datos de personas físicas son considerados como datos personales según el nuevo Reglamento y la ley excluyéndose:

-Todos aquellos datos referidos a personas jurídicas (empresas, colectivos, organismos oficiales, asociaciones, etc.).

-Los ficheros que recojan datos de personas físicas en la realización de sus servicios en la empresa, como el nombre y apellido, la dirección, el teléfono o el puesto que desarrolla.

-Todos aquellos datos de empresarios individuales, que referencien el ejercicio de su actividad comerciante o industrial.

Resumiendo se entiende por datos personales todos aquellos datos que permitan identificar a una persona en concreto, más allá de aquellos datos profesionales básico que los identifican como trabajadores de una empresa o los datos asociados al propio tráfico mercantil.

A modo de ejemplo diremos que un teléfono o un email, será considerado como dato personal, si de modo directo o indirecto, permite asociaRlo a una persona física en concreto.

¿Qué ocurre si no cumplo con la ley?

Con el Nuevo Reglamento Europeo de Protección de datos las sanciones se han endurecido. Las empresas pueden llegar al 4% de la facturación anual o a los 20 millones de euros. Se aplicará siempre la opción que sea mayor.

¿Tengo una empresa muy pequeña que gestiono yo solo. ¿A mí también me afecta el RGPD?

Sí. El RGPD no entiende de tamaño sino de tratamiento de datos, es decir afecta a cualquier persona física o jurídica que desarrolle una actividad económica y que maneje datos de carácter personal. Por lo tanto ya seas un autónomo o una empresa este nuevo reglamento de afecta directamente.

¿Qué nivel de seguridad de datos manejan las empresas?

Las medidas de seguridad de la antigua LOPD se encontraban divididas según el tipo de datos que contenían los ficheros y el uso que de ellos se haga. A mayor nivel de seguridad mayores medidas de seguridad. Los negocios que manejen datos medios y altos necesitan de auditorías bianuales.

BÁSICO. Nombre y apellidos, DNI, NIE, NISS, nacionalidad, firma manual y electrónica, imagen, email, teléfono, fax, etc., cuenta bancaria, número de tarjeta de crédito, datos marcados con "*" cuando: 1) sólo se usen para hacer transferencia dineraria a cuentas de las cuales es socio o miembro, 2) Sean ficheros en los que se incluyan estos datos y no guarden relación con el fichero y 3) Sean datos de salud, si sólo se refieren al certificado de aptitud o el grado de discapacidad para el cumplimiento de los deberes públicos.

MEDIO. Infracciones administrativas o penales, datos tributarios de las administraciones tributarias, de entidades financieras relacionados con la Seguridad Social, Mutuas de AT y EP, datos sobre la personalidad y el comportamiento del afectado y datos de teleoperadores (tráfico y localización). En este caso debería llevarse un registro de accesos como si fueran de nivel alto.

ALTO. Ideología, afiliación sindical y política, religión y creencias, salud, origen racial, vida sexual y datos recabados con fines policiales sin consentimiento del afectado.

¿Cuáles son mis derechos para proteger mis datos personales?

Desde el pasado 25 de mayo de 2018 es de aplicación el Reglamento Europeo de Protección de Datos y es importante que conozcas cuáles son tus derechos: Fundamentalmente son cinco, el derecho a conocer, el derecho a solicitar al responsable, el derecho a rectificar tus datos, el derecho a suprimir tus datos y el derecho de oposición al tratamiento de tus datos. Te dejamos a continuación el link a la Agencia Española de de Protección de Datos AGPD para que puedas ampliar la información. Ampliar más detalles>>

¿La entrada en vigor del nuevo Reglamento implica que la LOPD deja de aplicarse?

Si, este Nuevo Reglamento viene a sustituir y mejorar todos los procesos que tenemos que llevar a cabo a fin de proteger los datos personales.

¿Se puede cumplir con el Nuevo Reglamento a coste cero (bonificado con los créditos de la Fundación Estatal)?

Ante la práctica fraudulenta de muchas empresas intentando "camuflar/disfrazar" las consultorías, implantaciones o adecuaciones al Nuevo Reglamento Europeo de Protección de datos y LOPD como formaciones con el claro fin de poder esquivar el pago de las mismas y aprovecharse de los fondos de la Fundación Estatal, la propia fundación lleva años informado de tales prácticas a través de comunicados como este:

Comunicado Tipo de la Fundación Tripartita
Utilización de bonificaciones para LOPD - Nota informativa
Comunicado a las empresas que realizan formación para sus trabajadores, en previsión de errores en las bonificaciones relacionadas con la implantación de sistema de protección de datos de carácter personal
La Fundación Tripartita para la Formación en el Empleo advierte a empresas y consultores, a todos los gestores de formación para el empleo del sistema de bonificaciones de ámbito estatal, sobre la existencia de entidades que de manera gratuita ofrecen servicios de implantación, auditoria y asesoría jurídica en materia de protección de datos de carácter personal, que en la práctica financian estos servicios con cargo al crédito asignado para la formación, un hecho que puede llegar a ser constitutivo de fraude.
El Real Decreto 395/2007 y la Orden Ministerial 2307/2007 establecen que este crédito está destinado exclusivamente a la realización de acciones formativas y permisos individuales de formación de los trabajadores.
La Fundación Tripartita ha iniciado un proceso de comprobación de los hechos y puesto en marcha los mecanismos de control oportunos, para constatar las bonificaciones practicadas y evitar en el futuro que las empresas beneficiarias que se bonifican por formación se vean implicadas en una cadena de errores, teniendo que devolver las cuantías bonificadas.
Las empresas que se bonifiquen por la contratación de servicios de implantación, auditoria y asesoría jurídica en materia de LOPD, deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social.
La Fundación Tripartita hace un llamamiento a todos los usuarios para que en caso de recibir alguna oferta de este tipo de servicios u otros de similares características, contacten con el servicio al cliente de la Fundación en: servicioalcliente@fundaciontripartita.org.

https://www.fundae.es/Noticias/Noticias/Nota_bonificaciones_LOPD.aspx

Es importante saber que además de la devolución de las bonificaciones y las correspondientes sanciones administrativas estos hechos pueden llegar a ser delitos penales.

Te dejamos también la alerta de la propia Agencia Española de Protección de Datos (AEPD) para pymes y autónomos.

https://www.aepd.es/prensa/2019-07-04.html